java-sec-code环境搭建和简单命令执行分析

最新推荐文章于 2024-06-19 20:25:33 发布
最新推荐文章于 2024-06-19 20:25:33 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: java security code 文章标签: 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44687621/article/details/119677735
版权
简介Java Security Code该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。该项目由当前最流行的框架springboot编写环境搭建这里为了方便调试,使用windows上的idea来搭建java security code首先使用idea的git功能,clone源码到本地网址:https://github.com/dr0op/java-
摘要由CSDN通过智能技术生成

简介

Java Security Code

该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。

每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。

该项目由当前最流行的框架springboot编写

环境搭建

这里为了方便调试,使用windows上的idea来搭建java security code

首先使用idea的git功能,clone源码到本地

在这里插入图片描述

网址:https://github.com/dr0op/java-sec-code

下载完源码后,idea会直接帮我们打开项目。如果maven没有自动下载插件,在右侧点击reload就可

在这里插入图片描述

如果出现基本对象,如string等包装类出现飘红情况,可以检查检查是否配置了jdk。

这里配置tomcat即可运行,配置如下,这里使用的版本为tomcat8.5

在这里插入图片描述

命令执行漏洞分析

访问:http://localhost:8080/rce/exec?cmd=whoami 可以获得以下结果

在这里插入图片描述

进入到controller下的Rce类查看代码,代码如下

@Controller
@RequestMapping("/rce")
public class Rce {
   

    @RequestMapping("/exec")
最低0.47元/天 解锁文章
一睡12点
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java-Sec-Code 环境搭建
MZa1213123的博客
03-16 9095
一、Java Sec Code 介绍 对于学习Java漏洞代码来说,Java Sec Code是一个非常强大且友好的项目。 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。 具体可查看每个漏洞代码和注释。 下载地址:https://github.com/JoyChou93/java-sec-code 二、搭建环境 IDEA 由于在 windows 对代码进行审计,方便 debu
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2497
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
Java安全
最新发布
q
06-19 1184
靶场地址查看数据库配置文件,mysql,用户名密码根据自己数据库密码更改使用小皮面板的mysql,新建一个数据名为javasec的数据库运行javasec.sql文件下载运行即可访问本地8000端口,用户名密码admin,admin。
java-sec-code学习
公众号shadow sock7
03-04 4250
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
代码审计入门之java-sec-code(二)
MSB_WLAQ的博客
10-15 1571
1.SQL注入漏洞 SQL注入漏洞常年作为WEB应用中的普遍存在的高危漏洞,它的危害不用过多叙述,让我们查看SQLI.java内的源代码,源码内分别为我们演示了基于jdbc(Java Data Base Connectivity,java语言提供的访问关系型数据库的接口)的漏洞代码及安全代码和基于MyBatis( 一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射)的漏洞代码及安全代码。 1.1jdbc_sqli_vul方法(漏洞方法) jdbc_sqli_vul方法是基于jdbc实现.
java-sec-code学习之path_traversal
midi
08-03 1014
前言 开始我的java代码设计学习,使用的环境是idea 项目是java-sec-code:https://github.com/JoyChou93/java-sec-codejava代码审计从零开始的第一更,会从网上找各种资源整合学习 0x01 从原版java代码分析 进入controller文件 /src/main/java/org/joychou/controller/PathTraversal.java 在PathTraversal类前面我们可以看到有一个@RestController注解 他是
java-sec-code命令注入
qq_54030686的博客
12-18 407
java-sec-code中的命令注入 host位置存在问题
java-sec-code:基于springboot和spring security的Java Web常见漏洞和安全代码
02-03
Java秒代码Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。介绍该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞类型代码都有一个安全漏洞。 相关的修订代码在注释或代码中。 ...
momo-code-sec-inspector-java-prod-193.20.1.jar
04-27
"momo-code-sec-inspector-java-prod" 显然是一个专注于生产环境的代码审计工具,它通过集成到IDEA中,能够实时分析源代码,检查出不符合安全规范或者存在安全隐患的代码片段。这包括但不限于SQL注入、跨站脚本(XSS...
plexus-sec-dispatcher-1.3.jar
01-08
plexus-sec-dispatcher-1.3.jar
Docker简单搭建Vulfocus靶场 CN-SEC 中文网.pdf
02-07
"Docker简单搭建Vulfocus靶场" Docker是一个流行的容器化平台,能够轻松地搭建和管理各种应用程序。Vulfocus是一个基于Docker的靶场平台,提供了大量的漏洞靶场环境,方便安全研究人员和渗透测试人员进行漏洞研究和...
javaweb-sec:攻击Java Web应用-[Java Web安全]
03-08
Java Web安全是一个重要的主题,尤其是对于开发和维护Web应用程序的IT专业人员而言。这个名为"javaweb-sec:攻击Java Web应用-[Java Web安全]"的项目,旨在提供一个全面的资源,帮助开发者理解并防御可能针对Java Web...
java-sec-code 目录穿越和模板注入漏洞
weixin_44687621的博客
08-18 978
目录穿越漏洞 虽然漏洞的payload非常简单,但是java的编程方法还是值得一看的。 漏洞分析 进入controller下的PathTraversal类下,可以看到如下代码。 @GetMapping("/path_traversal/vul") public String getImage(String filepath) throws IOException { return getImgBase64(filepath); } 这是漏洞的产生点,传入的参数fil
Day66:WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
qq_61553520的博客
03-16 1595
小迪安全-Day66:WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
高德地图 Service 创建服务 USERKEY_PLAT_NOMATCH
dfgwang1202的博客
12-11 1087
在使用高的地图 创建服务的时候 { "errmsg": "USERKEY_PLAT_NOMATCH", "errcode": 10009, "sec_code_debug": "d41d8cd98f00b204e9800998ecf841327e", "key": "8778a3e9880f7c0a70947a36b9588327f", "sec_code": "1874d6c1e25...
利用Python的folium包绘制城市道路图
热门推荐
黄钢的博客
08-18 6万+
写在前面 很长一段时间内,我都在研究在线地图的开发者文档,百度地图和高德地图的开发者中心提供了丰富的在线地图服务,虽然有一定的权限限制,但不得不说,还是给我的科研工作提供了特别方便的工具,在博客前面我先放上这两个在线地图开放平台的web API的地址链接: 百度地图开放平台 高德地图开放平台 基于这两个平台,博主进行了一系列的开发研究工作,本文介绍其中一项技术,如何用folium包绘制城市道路图,当然,也可绘制非城市道路图,只要提供正确的路名就行了。 开发工具: Python3.7 Spyder编译器
java-sec-code ssrf
weixin_44687621的博客
08-21 803
SSRF漏洞 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。 利用伪协议读取文件 由于Java没有php的cURL,所以Java SSRF支持的协议,不能像php使用curl -V查看。 Java网络请求支持的协议可通过下面几种方法检测: 代码中遍历协议 官方文档中查看 import sun.net.www.protocol查看 SSRF是由发起网络请求的方法造成。所以先整理Java
java-sec-code学习之CORS
midi
08-10 279
前言 CORS(跨域资源共享)是用来实现跨域资源访问的,比如有两个域a1.com和b1.com,假设b1.com上面有个接口能够获取一些返回的数据,那么如果我们从a1.com写一段js去请求这个接口的数据,一般来说是请求不了的,会在浏览器爆出CORS错误,但如果有CORS设置,就可以实现这样的访问,甚至可以能够使用b1.com上的cookie。 项目是java-sec-code:https://github.com/JoyChou93/java-sec-code 0x01 从java代码出发 进入contr
java-sec-code学习之SSTI
midi
08-13 1301
前言 项目是java-sec-code:https://github.com/JoyChou93/java-sec-code SSTI,又称作模板注入,之前接触过python中flask的ssti模板注入,最终能达到rce,不过实战中比较少吧,php中比如smarty也会有相应的ssti模板注入。刚好今天来学习下java下的ssti。 0x01 从java代码出发 进入controller文件 /src/main/java/org/joychou/controller/SSTI.java 发现java使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值